Todos tus Android pertenecen a xhelper

(Adopta acento falso inespecífico) «Como disparar phish en el barril, da?»

Alguien nos puso la bomba

La mayoría de los expertos en tecnología tienen la vaga idea de que es una mala idea obtener aplicaciones para teléfonos de fuentes desconocidas, pero al menos hay algún esfuerzo para curar las tiendas oficiales de aplicaciones de proveedores como Apple y Google. Desafortunadamente, incluso aquellos que pueden caer presa de programas de mal comportamiento, y antes de que te des cuenta, has proporcionado voluntariamente tu cara y tu información personal a actores cuestionables en el norte de Asia. Pero si no hay nada más, se pueden desinstalar limpiamente.

Todas las apuestas están desactivadas cuando cargas una aplicación (por ejemplo, usa un método alternativo para instalarla localmente desde un archivo descargado), o peor aún, si obtienes un teléfono usado con un kit malicioso preinstalado. Según Symantec y recogido por una variedad de medios tecnológicos esta semana, incluyendo Cisomag y The Hacker News, se ha encontrado un nuevo y agresivo malware llamado «xhelper» en al menos 45.000 dispositivos Android desde la primavera de este año y parece que está ganando otros 2.400 aproximadamente cada mes. Y es una maravilla.

Lo siento, Dave, pero no puedo permitirlo

Cuando se infecta, el malware aparece como xhelper en una ventana de servicios de Android en la configuración. Se instala como un servicio en primer plano y, por lo tanto, no se puede descartar como una aplicación normal. Su método exacto de propagación sigue siendo un tanto misterioso, junto con su obstinada persistencia. Symantec indica que es muy bueno reiniciarse a sí mismo si se detiene manualmente en la Configuración y, con frecuencia, reaparece en el sistema después de un restablecimiento de fábrica. En otras palabras, el comportamiento de un rootkit clásico de PC.

La fuente de la infección también es incierta. Puede propagarse a través de sitios web maliciosos o de publicidad maliciosa que convence al usuario para que siga el proceso de carga lateral. Otra posibilidad es que se precargue en teléfonos nuevos o usados de bajo costo. Los países objetivo de la difusión parecen ser principalmente los Estados Unidos, la India y Rusia. Symantec lo notó por primera vez en marzo y observó que la base de código se hacía más sofisticada a medida que avanzaba el año.

Hasta ahora, la actividad de xhelper parece estar centrada en la creación de anuncios emergentes molestos y en redirigir al usuario para que instale aplicaciones de Play Store que probablemente generen ingresos de pago por la instalación para los codificadores de malware. Sin embargo, según Symantec, tiene un potencial mucho peor, incluidas las capacidades de actualización remota. Un compromiso total al estilo de la NSA del dispositivo infectado es una posibilidad real si los autores deciden seguir ese camino.

Remedio y evitación

En este punto, algunos usuarios informan de que han logrado eliminarlo con las aplicaciones antivirus comunes para Android disponibles en la Play Store. Sin embargo, a veces reaparece. En este punto, probablemente depende de la base de código que haya infectado el dispositivo y de si los escritores AV ya lo han alcanzado – un juego continuo de whack-a-mole. Así que, sólo para reiterar el consejo de seguridad estándar:

  • Evite instalar nuevas aplicaciones a menos que sepa exactamente cuáles son y las desee en su dispositivo.
  • Tome nota de los permisos. Android 10, en particular, ha aumentado significativamente la seguridad de los permisos; no se acostumbre a hacer clic en ellos.
  • Tenga mucho cuidado al comprar hardware usado o hardware nuevo barato de fuentes del mercado gris.
  • A menos que sepa exactamente lo que está haciendo y por qué, nunca instale aplicaciones usando instrucciones que requieran que obtenga el archivo de programa inicial en cualquier lugar excepto a través de la tienda de aplicaciones curada de su dispositivo, especialmente si requiere que realice un procedimiento especial de reinicio del teléfono para hacerlo.

Con respecto a esta última: algunas aplicaciones legítimas permitirán que se instale una versión «lite» o patrocinada por anuncios desde la tienda curada, y luego instalarán contenido adicional de pago desde la fuente del vendedor si compras la versión premium o añades contenido de microtransacción. Idealmente, la aplicación original debe provenir de la tienda curada, la transacción debe realizarse utilizando el mecanismo de pago de la tienda curada, y la actualización debe realizarse completamente dentro de la aplicación.

Estos pasos no garantizan una seguridad absoluta, pero mejorarán sus posibilidades de evitar el software malicioso o, al menos, de deshacerse de él si se le engaña para que instale una aplicación curada que haga más de lo que esperaba.

Deja un comentario